Múltiples vulnerabilidades en Nokia ASIK AirScale
Fecha de publicación 04/11/2022
Identificador
INCIBE-2022-1000
Importancia
4 - Alta
Recursos Afectados
- ASIK 474021A.101;
- ASIK 474021A.102 (no está afectado por CVE-2022-2484).
Descripción
Joel Cretan, investigador de Red Balloon Security, ha reportado 3 vulnerabilidades de severidad alta en el producto ASIK AirScale 5G Common System Module de Nokia, cuya explotación podría permitir a un atacante la ejecución de un kernel malicioso, programas maliciosos arbitrarios o programas modificados.
Solución
Nokia ha publicado notas de soporte técnico que contienen instrucciones de mitigación para los usuarios afectados, quienes deben ponerse en contacto con el fabricante para recibir más información.
Detalle
- Una vulnerabilidad en el módulo del sistema ASIK AirScale de Nokia podría permitir a un atacante situar un script en el sistema de archivos accesible desde Linux con el que ejecutar código arbitrario en el bootloader. Se ha asignado el identificador CVE-2022-2482 para esta vulnerabilidad.
- La comprobación de la firma en el módulo del sistema Nokia ASIK AirScale podría omitirse, permitiendo a un atacante ejecutar firmware malicioso. Se ha asignado el identificador CVE-2022-2484 para esta vulnerabilidad.
- El bootloader del módulo del sistema Nokia ASIK AirScale carga claves públicas para la firma de verificación del firmware. Si un atacante modifica el contenido para corromper las claves, el arranque seguro podría quedar permanentemente desactivado. Se ha asignado el identificador CVE-2022-2483 para esta vulnerabilidad.
Listado de referencias